• Apfeltalk ändert einen Teil seiner Allgemeinen Geschäftsbedingungen (AGB), das Löschen von Useraccounts betreffend.
    Näheres könnt Ihr hier nachlesen: AGB-Änderung
  • Was gibt es Schöneres als den Mai draußen in der Natur mit allen Sinnen zu genießen? Lasst uns teilhaben an Euren Erlebnissen und macht mit beim Thema des Monats Da blüht uns was! ---> Klick

Komisches Plugin bei Safari und Firefox! Trojaner????

bootsmann

bootsmann

Gloster
Registriert
28.05.06
Beiträge
61
Hallo Leute!

Ich habe ein Problem mit Safari! Wenn ich Safari öffne und etwas herumsurfe, hängt sich Safari immer so nach der 3. oder 4. Seite auf!
Habe dann mal son bisschen herumgesucht, woran es wohl liegen kann.
Ich habe dann ein Plugin gefunden, welches mir unbekannt ist und ich auch nicht wissentlich installiert habe!
"Verified RovaSupa Plugin" näheres siehe Bild
Finde diese Plugin aber nicht unter library/internetplugins!

Hab dann mal etwas recherchiert und dieses hier gefunden:

http://osdir.com/ml/security.botnet.general/2007-11/msg00034.html

Ich hab echt keine Ahnung was das ist!

Hat jemand eine Ahnung und vieleicht eine Lösung dieses Plungin loszuwerden???

Ach ja, dieses Plugin befindet sich auch in Firefox!

Vielen Dank schon mal!
 

Anhänge

  • Bild 2..png
    Bild 2..png
    16,1 KB · Aufrufe: 138
salome

salome

Golden Noble
Registriert
20.08.06
Beiträge
23.750
In Firefox kannst du dir unter Extras / Add-ons/Plugins ansehen und das entsprechende deaktivieren.
Wenn du about:plugins in die Firefox Adressleiste eintippst sieht du sämtliche installierten Plugins (mir kommt vor, da sind mehr als unter Extras) sehen.
Wenn du about:config in die Firefox Adressleiste eintippst und die Preference "plugin.expose_full_path" auf true setzt, kannst du auf der Seite about:plugins oben unter der Überschrift für jede Gruppe den genauen Pfad sehen. Dann kannst du das Plugin entfernen.
Ich habs ja nicht, deshalb weiß ich auch nicht ob es in den FF -Contents liegt oder in der Library. Ich nehme fast an in der Library, denn verschwindet es auch aus Safari.
Salome


Edit: Für diese Smileys kann ich nichts sie erscheinen durch die URL: aboutDoppelpunktplugins.
 
Zuletzt bearbeitet:
bootsmann

bootsmann

Gloster
Registriert
28.05.06
Beiträge
61
Cool! Besten Dank!
Also hab das mir unbekannte Plugin auf Firefox entfernt und somit ist es auch bei Safari verschwunden!
Mal sehen wie Safari jetzt wieder arbeitet??

Mich würde aber dennoch interessieren, was das für ein Plungin ist! Hab dieses ja nicht bewusst installiert.
Hat jemand eine Ahnung?
In den oben angeführten Link ist ja die Rede von einem Trojaner?
Kommt mir alles etwas suspekt vor!

Gruss
 
salome

salome

Golden Noble
Registriert
20.08.06
Beiträge
23.750
Vielleicht erfährst du hier mehr. Der Bloger hat das Plugin auch gehabt. Aber, dass es eine Trojaner ist, ist nur eine Vermutung.
Mehr findet sich auch auf der Mozilla-Seite nicht.
Salome
 
bootsmann

bootsmann

Gloster
Registriert
28.05.06
Beiträge
61
Danke für den Link! Ist sehr interessant, verstehe aber nur Bahnhof!
Hab zwar dieses Plugin nicht mehr, aber Safari läuft aber immer noch nicht so richtig.
Besonders wenn ich Flashmovies öffne, läuft s für ein paar Sekunden und dann hakt es wieder!
Hab grad schon den Flashplayer de- und wieder neu installiert! Genauso Shockwave ...
 
salome

salome

Golden Noble
Registriert
20.08.06
Beiträge
23.750
st sehr interessant, verstehe aber nur Bahnhof!
Zum Vergrößern anklicken....
Ich, ehrlich gesagt, leider auch. ;)
Damit (Flashplayer oder Shockwave) ist das Plugin vermutlich auch herein gerutscht.
Zu Flash-Anwendungen findest du aber genügend Threads. So viel ich damit bekommen habe, ist es ein Jammer. Der Mac (Apple) mag das Adobe-Zeug nicht und deshalb kommt auch Safari damit nicht wirklich zurecht.
Ich denke damit musst du dich abfinden.
Salome
 
karolherbst

karolherbst

Danziger Kant
Registriert
11.05.07
Beiträge
3.878
naja das PlugIn richtet ein Cronjob ein, welches in bestimmten Zeitabständen abgerufen wird im Sudo modus (heißt mit superadmin rechten, also noch mehr als ein normaler admin hat). Dieser cron-job lädt eine *.pl Datei runter, die sofort unter sudo ausgeführt wird, was heißt, dass ein Fremdserver durch bestimmte perl Dateien deinen Mac unter seiner Kontrolle bringen könnte, wenn er wollte. Also Benutzer löschen, Daten löschen etc... Er kann aber auch die Verbreitung dieses Trojaners voranschreiten.

Das tolle daran ist jedoch, dass das löschen des PlugIns rein gar nichts mehr bringt. du musst schon den cron job löschen und alle anderen Dateien, die an diesem Plug-In hängen. Als Laie bringt nur noch eine komplett Neuinstallation was.

EDIT:
Und nein, über Flash ist dieses PlugIn nicht hereingekommen. Es ist eher so gewesen, dass man eine bestimmte Webseite öffnen wollte, die jedoch ein PlugIn erforderte. Aus mir nicht bekannten Gründen (entweder aus Neugierde, oder weil die Seite so rumnervte) beschloss man sich dieses zu installieren. Also Flash dafür pauschal die Schuld zu geben ist grundlegend falsch. Es liegt eher am Benutzer der davor sitzt. Es kann aber auch sein, dass es sich hierbei um eine aktuellere Version des mir bekannten Trojaners handelt, wie der ins System kommt ist mir erstmal unklar, sollte aber auf den gleichen Wege passieren auch wenn es unbemerkter geschehen ist.
 
salome

salome

Golden Noble
Registriert
20.08.06
Beiträge
23.750
Was meinst du mit abstrahieren? heute ist der 4. April.
Wo kommt dieses Plugin her? Wie / wo kann man den Cronjob löschen?
Deine Ausführungen sollen anscheinend Angst machen, aber sie helfen nicht wirklich. In den englischen Threads steht gar nichts von einer Neuinstallation, sondern nur wie man es löschen kann.
Erkläre dich bitte deutlicher und lasse die Ironie im Café, falls eine hier ist.
Salome

Aha, jetzt gibt es ein Edit. Wo schließt du Bekanntschaften mit Trojanern? Google findet nahezu nichts darüber. Schade, dass du deine Ausführungen nicht früher angebracht hast, da hätte ich mir viel Recherchearbeit erspart. Hinterher kann jeder klug sein.
 
karolherbst

karolherbst

Danziger Kant
Registriert
11.05.07
Beiträge
3.878
ne ich meine das vollkommen ernst. Und wenn ich ehrlich bin, habe ich nicht viel Ahnung von cron und wie man diesen Trojaner sauber entfernen kann, wer weiß, was die perl Dateien schon alles angerichtet haben? Und das mit dem abstrahieren ist meine Signatur und hat mit meinem Beitrag überhaupt nichts zu tun.

EDIT: und nun stellt sich die Frage für einen Laien: entweder installiere ich alle an einem Tag sauber neu oder arbeite mich da mindestens einen Tag rein, wie ich alles entfernen kann.
 
bootsmann

bootsmann

Gloster
Registriert
28.05.06
Beiträge
61
Bedeutet also, ich hab n Trojaner auf meinem Rechner?
Ich muss mich jetzt wirklich etwas dumm anstellen, da ich über diese Dinge so gut wie keine Ahnung habe!
Wenn ich mich für eine Neuinstallation entscheiden würde, welche Dateien sind davon befallen?
Was ist mit meinen Fotos und meiner Musik?
 
karolherbst

karolherbst

Danziger Kant
Registriert
11.05.07
Beiträge
3.878
Trojaner != Virus
Also keiner deiner Daten ist betroffen und selbst wenn, bringt das nach einer Neuinstallation überhaupt nichts. Trojaner arbeitet eigenständig und braucht keine Wirte (andere Dateien). Also darüber brauchste dir keine Gedanken machen. Eigentlich reicht es auch die cronjobs, launchdaemons zu entfernen. Dann haste zwar noch Überbleibsel an Board, die aber so harmlos sind, wie eine zahmes Kätzchen.
 
salome

salome

Golden Noble
Registriert
20.08.06
Beiträge
23.750
Auch der böseste Trojaner kann nur dann in dein System, wenn du es ihm erlaubst (Passwort). Wenn du nicht als Admin arbeitest, wie mehrfach empfohlen, sondern als normaler User, ist die Hürde noch größer.
Im gesamten Web ist nichts von einem Schaden zu finden, lediglich, dass das Plugin nicht zuordenbar ist und die User es weg haben wollen. Bleib ruhig. Wenn das eine Seuche wäre, hätte Heise schon gekräht und es stünde ungefiltert in den AT-News.
Bleib gelassen.
'Woher karolherbst seine Informationen hat, sagt er nicht.

Und das mit dem abstrahieren ist meine Signatur und hat mit meinem Beitrag überhaupt nichts zu tun.
Zum Vergrößern anklicken....
Ach so! Mir trotzdem nicht verständlicher. Ist aber egal.
Edit: Ein Trojaner ist ein Trojaner. Manchmal schleppt er einen Virus mit sich. Bis dato ist noch kein Virus bekannt, der am Mac Schaden anrichtet. Das Schlimmste ist, dass man Viren per E-Mail an Windows-User verbreitet. Das scheint aber bei dem Plugin nicht der Fall zu sein, sonst würde die Erde schon beben.
 
salome

salome

Golden Noble
Registriert
20.08.06
Beiträge
23.750
Also deine DNS wird nicht geändert, das ist schon mal was. Du kannst ja auch zur Beruhigung ClamXav laufen lassen - wird auch keine Meldung bringen, aber Abkühlung. ClamXav ist harmlos und richtet keinen Schaden, wie viele käufliche Antiviren-Software.
 
bootsmann

bootsmann

Gloster
Registriert
28.05.06
Beiträge
61
Wo find ich denn dann diese launchdaemons?
 
Zuletzt bearbeitet:
salome

salome

Golden Noble
Registriert
20.08.06
Beiträge
23.750
in ~/Library und Library findest du je einen Ordner LaunchDaemons. Aber schau bitte genau, was du da drinnen hast, denn die meisten werden gebraucht. Im Regelfall ist das Programm, zu dem sie gehören, angegeben.
Aus der System/Library darfst du gar nichts entfernen.
Lass dich nicht verrückt machen.
 
salome

salome

Golden Noble
Registriert
20.08.06
Beiträge
23.750
Umso besser! In der allgemeinen L. (/Library) werden schon ein paar so .plist Dateien sein, bei mir etwa vom Glimmerblocker, irgendwas von Adobe, von Textwrangler. Google installiert auch allerhand, meist Updater. Aber sie diese .plist sind alle identifizierbar.
Schäl' dir ein blaues Ei und entspanne dich.
Salome
 
bootsmann

bootsmann

Gloster
Registriert
28.05.06
Beiträge
61
Ok ... Pell mir jetzt ein Ei und genieß den restlichen Tag!
Suspekt find ich das ganze doch ein wenig!

Und Safari läuft immer noch nicht! Hm ...

Ach ja, Happy Easter!!!
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
2003-2024 Apfeltalk | Made on a Mac
Oben Unten